Plusy i minusy powołania ABI (cz. III)

Zapraszamy do ostatniego z artykułów cyklu poświęconego sprawowaniu funkcji Administratora Bezpieczeństwa Informacji (ABI) po nowelizacji Ustawy o ochronie danych osobowych.

Tym razem skupimy się na rozważaniach nad plusami i minusami powołania ABI w strukturze Administratora Danych (ADO).

Zacznę od tego, że jako właściciel firmy specjalizującej się m.in. w outsourcingu funkcji ABI, mogę nie być w 100% obiektywny, wyliczając plusy i minusy powołania Administratora Bezpieczeństwa Informacji. Myślę też, że warto poznać punkt widzenia osoby, która od ponad 7 lat tworzy i obserwuje praktyczne funkcjonowanie systemów ochrony danych osobowych w biznesie i administracji publicznej.

Plusy powołania Administratora Bezpieczeństwa Informacji

 

  1. Rozdzielenie obowiązków

Zacznijmy od zadania sobie pytania, co jeśli ABI nie zostanie powołany? W sytuacji, jeżeli nie powołamy ABIego, osobą odpowiedzialną za wszystkie procesy związane z ochroną danych osobowych jest Administrator Danych, a konkretnie osoba go reprezentująca: Prezes spółki, dyrektor szkoły, wójt czy burmistrz.

W praktyce trudno wyobrazić sobie sytuację, że któraś z ww. osób osobiście nadaje upoważnienia, redaguje politykę bezpieczeństwa ochrony danych osobowych czy szkoli pracowników. Z perspektywy ADO, powołanie ABIego jest więc prostą i skuteczną formą delegowania zadań i obowiązków na inne osoby.

  1. Zwolnienie z rejestracji zbiorów

Kolejną korzyścią z powołania ABIego jest zwolnienie z obowiązku rejestracji zbiorów danych osobowych przetwarzanych przez Administratora Danych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Każdy ADO, który zgłosi swojego ABIego do centralnego rejestru GIODO, nie musi już bowiem zgłaszać do GIODO bazy danych. Warto jednak pamiętać o tym, że nawet, jeśli ABI został zgłoszony – nie wystarczy to do przetwarzania danych wrażliwych. Tutaj nadal konieczne jest zgłoszenie zbioru zawierającego takie dane do GIODO (więcej o rejestracji zbiorów danych osobowych po 1 stycznia 2015 r. pisaliśmy w naszym artykule https://blog-daneosobowe.pl/rejestracja-zbiorow-danych-po-1-stycznia-2015-r/).

W omawianym wypadku ABI niejako „outsourcuje” funkcje GIODO, polegającą na prowadzeniu rejestru baz danych i zamiast zgłaszać bazy do rejestracji ewidencjonuje je w swoim rejestrze wewnętrznym (o tym jak prowadzić taki rejestr pisaliśmy w artykule https://blog-daneosobowe.pl/my-juz-wiemy-jak-prowadzic-jawny-rejestr-zbiorow-danych-osobowych/).

  1. Zmniejszenie ryzyka kontroli

Powołanie ABIego, może również potencjalnie zmniejszyć ryzyko kontroli GIODO. W wielu przypadkach, inspektorzy GIODO, zanim pojawią się u Administratora Danych osobiście – najpierw żądają złożenia obszernych wyjaśnień. Sam fakt powołania ABIego, działa więc w sytuacji kontroli na korzyść Administratora Danych.

Ponadto, od 1 stycznia 2015 r., GIODO posiada nową kompetencję – jeżeli ABI został powołany i wpisany do rejestru prowadzonego przez GIODO, wówczas GIODO może się do niego zwrócić o skontrolowanie Administratora Danych u którego dany ABI pełni swoją funkcję. ABI po przeprowadzeniu odpowiednich czynności sprawdzających zgodność procesu przetwarzania danych osobowych z przepisami prawa przygotowuje sprawozdanie, które następnie przedstawia Generalnemu Inspektorowi za pośrednictwem Administratora Danych. Taka kontrola jest niewątpliwie dla ADO mniej dolegliwa, bo realizuje ją sam ABI.

  1. Sygnał dla pracowników i klientów

Nie zapominajmy jednak o najważniejszym. Osoba, która wpływa na podniesienie poziomu bezpieczeństwa danych osobowych i sprawi, że uda się zapobiec choćby jednemu wyciekowi danych osobowych – to bezcenna inwestycja.

Powołując ABIego i wprowadzając go do organizacji, ADO daje wyraźny sygnał wszystkim pozostałym pracownikom – ochrona danych osobowych jest w naszym miejscy pracy ważna. Już sam ten fakt wpływa motywująco na pozostałych pracowników i sprawia, że ich podejście do tematu bezpieczeństwa danych osobowych będzie inne.

ABI pomoże również innym pracownikom przy podejmowaniu decyzji z zakresu ochrony danych osobowych. Często spotykam się z sytuacjami w których pracownicy firmy nie do końca wiedzą w jaki sposób zareagować. Czy mogą udostępnić dane osobowe w określonej sytuacji czy nie? Czy dana klauzula zgody jest wystarczająca?

ABI „zdejmie” odpowiedzialność za podjęcie decyzji związanych z ochroną danych osobowych z pozostałych pracowników. Zaoszczędzi im to dużo czasu i stresujących sytuacji.

Nie zapominajmy również o roli ABIego w wewnętrznych sporach i konfliktach. Wszędzie tam gdzie przetwarzane są dane osobowe pracowników, rola ABIego to pomoc przy znajdowaniu rozwiązań w trudnych sytuacjach. Co zrobić, kiedy część zespołu odmawia wyrażenia zgody na publikację wizerunku na stronie internetowej ADO? Jak prawidłowo zorganizować działanie intranetu, aby nie naruszyć prawa do prywatności pracowników?

Dla pracowników ważna jest świadomość, że ADO dba i respektuje ich prawo do prywatności.

Rzetelnie realizujący swoje obowiązki ABI, uprości formularze służące do zbierania danych osobowych w myśl zasady adekwatności. Takie działanie z kolei może mieć duże znaczenie w kontakcie z klientem, który obecnie bardzo sceptycznie podchodzi do skomplikowanych formularzy, wymagających podania przez niego dużej ilości informacji.

Minusy powołania Administratora Bezpieczeństwa Informacji

 

  1. Konieczność zmian w strukturze organizacyjnej ADO

Zgodnie z obowiązującymi w tym zakresie przepisami, Administrator Bezpieczeństwa Informacji musi podlegać bezpośrednio kierownikowi jednostki, a Administrator Danych powinien zapewnić mu środki oraz organizacyjną odrębność niezbędne do niezależnego wykonywania jego zadań. Dla wielu ADO może to oznaczać konieczność zmian w strukturze organizacyjnej – utworzenie nowego etatu lub zmniejszenie dotychczasowego zakresu obowiązków służbowych pracownika powoływanego do sprawowania funkcji ABI.

Co więcej Administrator Danych musi pamiętać, że powierzenie Administratorowi Bezpieczeństwa Informacji wykonywania innych obowiązków, może nastąpić jeżeli nie naruszy to prawidłowego wykonywania jego ustawowych zadań. Oznacza to, że nie każdy z pracowników ADO może zostać powołany do pełnienia funkcji ABI.

Przykładowo, ustawa nie zabrania powołania na Administratora Bezpieczeństwa Informacji w szkole jednego z nauczycieli. Należy jednak pamiętać, że osoba taka musi po pierwsze spełniać określone ustawowo wymogi, a po drugie mieć zapewnioną możliwość realizacji nałożonych na nią przez przepisy zadań. Odpowiedzialność za zapewnienie środków i organizacyjnej odrębności Administratora Bezpieczeństwa Informacji ponoszą osoby reprezentujące Administratora Danych.

  1. Dodatkowe koszty

Powołanie ABI może również oznaczać dla Administratora Danych ponoszenie dodatkowych kosztów. Wiąże się to m.in. z rozszerzeniem etatu w firmie dla pracownika pełniącego funkcję ABI, czy też wynagrodzeniem dla ABI zewnętrznego, jeżeli ADO zdecyduje się na skorzystanie z tzw. outsourcingu funkcji ABI.

  1. Dopuszczenie kolejnej osoby do cennych informacji

Minusem powoływania ABI może być również rozszerzenie kręgu osób, mających dostęp do kluczowych dla firmy informacji. Niewątpliwie, aby Administrator Bezpieczeństwa Informacji mógł w sposób prawidłowy realizować swoje zadania, musi on posiadać znaczną wiedzę na temat procesów zachodzących w strukturach ADO powiązanych z przetwarzaniem danych osobowych. Dotyczy to m.in. zawieranych przez Administratora Danych umów (ABI musi bowiem wiedzieć, czy w danym przypadku konieczne będzie zawarcie umowy powierzenia przetwarzania danych osobowych, czy zawarta umowa już takie postanowienia zawiera). Dopuszczenie kolejnej osoby do takich informacji może zwiększać ryzyko wycieku tych informacji poza organizację.

  1. Ujawnienie danych ABI w rejestrze GIODO

Omawiając minusy powołania ABI w organizacji, pamiętać należy również o osobach, które mają tę funkcję pełnić. Dla niektórych z pracowników minusem może okazać się fakt figurowania w jawnym rejestrze Administratorów Bezpieczeństwa Informacji prowadzonym przez GIODO (https://egiodo.giodo.gov.pl/abi_register.dhtml). Często również mają oni obawy przez rozszerzeniem ich odpowiedzialności oraz przed nałożeniem na nich dodatkowych zadań.

Warto?

Trudno na dłuższą metę mówić o minusach ABI, jako że ustawowe obowiązki są… po prostu obowiązkami, które trzeba spełnić. Dylemat nad tym czy powołać ABIego, w większości organizacji, tak naprawdę okazuje się pozorny. Ktoś i tak finalnie musi zająć się wdrożeniem dokumentacji ochrony danych osobowych oraz pozostałymi ustawowymi obowiązkami. Jedynie w mniejszych organizacjach, w których te obowiązki będzie realizował osobiście np. właściciel – niepowołanie ABIego – może być racjonalne. Wykwalifikowany ABI minimalizuje ryzyko wycieków danych oraz wszelkich innych naruszeń przepisów w zakresie ochrony danych osobowych. W dobie bardzo wyrównanej rywalizacji na rynku, każdy atut którym firma może się pochwalić przed klientami, jest na wagę złota. Koszty powołania ABI mogą zwrócić się więc bardzo szybko.

5 Odpowiedzi

  1. basia

    a jak wygląda kwestia administratora bezpieczeństwa danych w przedszkolu (dodam że niewielkim)? czy jest sens go wyznaczać? pracujemy na dużej ilości danych dzieci ale wszystko robimy na podstawie przepisów prawa albo decyzji organu prowadzącego więc nie ma tutaj możliwosci manewru

    1. Kancelaria Lex Artist

      Witamy 🙂
      W tym przypadku należy uzyskać zaświadczenie o niekaralności z Krajowego Rejestru Karnego.
      Od stycznia 2014 roku istnieje możliwość złożenia zapytania lub wniosku za pośrednictwem tak zwanej e-platformy Ministerstwa Sprawiedliwości. Wniosek składany za pośrednictwem systemu teleinformatycznego opatruje się bezpiecznym podpisem elektronicznym, weryfikowanym przy pomocy kwalifikowanego certyfikatu, albo podpisem potwierdzonym profilem zaufanym ePUAP.
      Więcej szczegółów dostępne pod adresem https://obywatel.gov.pl/praca-i-biznes/uzyskaj-zaswiadczenie-z-krajowego-rejestru-karnego
      pozdrawiamy

    1. Kancelaria Lex Artist

      W opisanej przez Pana sytuacji powinna być zawarta umowa outsourcingu funkcji ABI, w jej treści należy uregulować kwestię powierzenia danych osobowych.
      pozdrawiamy serdecznie

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO